L'attaque d'un exploiteur en juillet contre le géant de la Finance décentralisée Curve Finance a secoué l'ensemble du marché DeFi. Une grande partie de l’argent volé a été restituée, mais tout le monde n’a pas été guéri.

Cependant, un titan de la Crypto– Coinbase, la plus grande bourse américaine – est assis sur un bénéfice d'environ 1 million de dollars lié à l'incident, selon les acteurs du marché et les observateurs. Il n’a T cédé cette aubaine par inadvertance aux victimes. Et, pour être clair, ce n’est actuellement pas obligatoire.

La situation bizarre découle d’une caractéristique bizarre de l’infrastructure de l’économie DeFi.

Lorsque 73 millions de dollars d'actifs ont été volés à Curve, le système de tarification des actifs de la plateforme a été brièvement déréglé. Un robot de trading a remarqué cette opportunité d'arbitrage unique et a bondi, payant 570 ETH (d'une valeur de 1,06 million de dollars à l'époque) pour s'assurer qu'un validateur de blockchain Ethereum traitait sa transaction le plus rapidement possible. Il s’agit du deuxième paiement le plus important jamais lié à la pratique connue sous le nom de MEV.

Les validateurs gèrent le réseau Ethereum , et ils sont nombreux. Dans ce cas, Coinbase était le validateur qui a reçu le paiement, selon Alchemix, qui a perdu de l'argent lors de l'exploit Curve, et les données de Nansen qui montrent que Coinbase était le destinataire de l'argent.

Alors que la majeure partie des 73 millions de dollars d'actifs perdus dans le piratage de Curve a été récupérée , le protocole Alchemix – qui a vu 22 millions de dollars de ses jetons basés sur Curve pillés par le pirate informatique – a déclaré que Coinbase avait refusé les demandes de renvoi de l'argent qu'il avait reçu. gagné à la suite du braquage.

"Coinbase n'a montré aucune volonté de restituer les fonds, bien qu'il ait sciemment bénéficié directement de l'exploit", a déclaré Alchemix à CoinDesk dans un communiqué.

Alchemix, qui affirme que Coinbase conserve l'argent volé, affirme que les représentants de Coinbase lui ont dit qu'il n'y avait aucune obligation légale de rembourser qui que ce soit.

Un porte-parole de Coinbase a déclaré que la société n'avait « rien d'autre à partager pour le moment » et a refusé une Request de commentaire.

La controverse souligne la tension entre les idéaux libres, « le code est la loi » de la Finance basée sur la blockchain et le manque frustrant de recours pour les victimes de vol de Crypto .

Selon DefiLlama, quelque 735 millions de dollars d'actifs numériques ont été volés lors de piratages informatiques ; L’omniprésence des exploits Crypto – et la difficulté de récupérer les fonds une fois qu’ils se sont produits – est fréquemment citée comme un élément dissuasif clé pour les utilisateurs potentiels de la Technologies.

La saga Coinbase-Curve offre une fenêtre unique sur le processus compliqué de récupération d’actifs qui suit la plupart des hacks Crypto . Le monde complexe des algorithmes de trading de Crypto et les opportunités d’arbitrage spontanées peuvent rendre difficile la localisation des fonds après leur vol dans un protocole de Crypto . Souvent, les plus grands bénéficiaires d’un braquage de Crypto se retrouvent dans cette position par accident – ​​gagnant des frais surprises en échange de l’exploitation de certains types d’infrastructures blockchain.

C'est la situation dans laquelle se trouve Coinbase. Que l'entreprise doive ou non rembourser les victimes de Curve avec les fonds qu'elle a gagnés à la suite du braquage – ou si ces fonds sont même de « l'argent sale » en premier lieu – est en grande partie une question de interprétation.

L’ attaque du 30 juillet contre Curve a exploité un bug dans le code de certains pools de liquidités – des paniers de Cryptomonnaie prêtés par les utilisateurs de la plateforme pour faciliter les échanges de jetons « décentralisés ». Au total, 73 millions de dollars d'actifs ont été perdus et l'événement a secoué les Marchés plus larges des Cryptomonnaie en raison de la position de Curve en tant que pierre angulaire de l'écosystème DeFi d'Ethereum.

ONEun des pools drainés lors de l'attaque contenait de l'éther ( ETH ) et de l'alETH, un dérivé de l'éther émis par Alchemix, une plateforme de prêt DeFi. Avant l'attaque, le pool détenait 7 259 ETH et 4 822 alETH, a déclaré Alchemix . Ensuite, l’exploiteur a vidé la majorité des jetons, ne laissant que 1 ETH et 3 856 alETH.

Les traders utilisent des pools de liquidités pour échanger des jetons, et le taux de change entre deux jetons d'un pool est défini par le ratio des actifs de ce pool.

Suite à l'exploit Curve, le déséquilibre massif entre les jetons ETH et alETH dans le pool ETH/alETH a créé une opportunité d'arbitrage – ouvrant la possibilité aux traders avertis d'acheter de l'alETH à un prix très réduit. Un robot de trading a remarqué l'opportunité et a acheté l'alETH restant dans le pool pour une somme dérisoire – les revendant rapidement contre du frxETH (un autre dérivé de ETH ), qu'il a ensuite échangé contre de ETH, selon les données de la blockchain.

Le robot de trading n’a gagné que 43 ETH grâce aux transactions. La plupart des bénéfices de la transaction sont allés au validateur – dans ce cas, celui de Coinbase – qui a inscrit la transaction dans le grand livre d'Ethereum. Les frais inhabituellement élevés de 570 ETH, selon les données de la blockchain , ont servi d'incitation pour persuader le validateur de donner automatiquement la priorité à la transaction du robot avant celle des autres personnes cherchant à effectuer la même transaction.

Cette pratique controversée consistant à ordonner stratégiquement les transactions blockchain pour profiter des opportunités commerciales spontanées est appelée valeur extractible maximale (MEV). Les frais d'arbitrage alETH constituent le deuxième paiement MEV le plus élevé pour une seule transaction dans l'histoire de la blockchain Ethereum , selon un rapport de Flashbots, l'une des principales sociétés MEV.

Sur le même sujet : La débâcle de Curve déclenche une frénésie de transactions, envoyant les récompenses Ethereum « MEV » à un niveau record

Suite à une prime publique et à un ultimatum , l'exploiteur de Curve a restitué à Alchemix la totalité des 22 millions de dollars ETH et d'alETH volés. Les chapeaux blancs – des acteurs de bonne foi qui ont dirigé le pirate informatique et ont drainé eux-mêmes les fonds avant qu'ils puissent être volés – ont également renvoyé des actifs d'une valeur de 13 millions de dollars, a rapporté CoinDesk .

Bien qu’ils n’y soient pas obligés, un opérateur de robot commercial connu sous le nom de c0ffeebabe. ETH a restitué 2 879 ETH – d'une valeur de près de 5,5 millions de dollars – à Curve.

Le robot de trading d'arbitrage qui a profité du déséquilibre alETH – la transaction avec laquelle Coinbase a gagné 1 million de dollars – a restitué son bénéfice de 43 ETH après que l'équipe Alchemix l'a demandé.

Mais Alchemix affirme que Coinbase n'a pas fait de même.

"C'est fou", a déclaré le détective pseudonyme de la blockchain Ogle , fondateur d'Ogle Security Group, spécialisé dans la récupération d'actifs suite à des vols de Crypto , y compris l'exploit Curve, dans un message Telegram. "J'ai essayé de négocier avec eux et j'ai parlé au téléphone, mais ils ne restitueront T les fonds même après avoir admis qu'ils avaient été volés."

"Ils citent la neutralité et la décentralisation et citent des arguments sur une pente glissante, comme dire qu'on ne peut T s'attendre à ce qu'ils empêchent tous les crimes sur la blockchain, que les autoroutes ne sont T responsables des personnes qui commettent des crimes sur elles, ETC", a déclaré Ov3rkoalafied, un Contributeur Alchemix qui a également assisté à un appel avec Coinbase.

"C'est une mauvaise analogie car ils ne constituent pas un bien public et profitent directement de ces opérations", a-t-il ajouté. « Si quelqu’un utilise votre produit à des fins criminelles et que vous ne le savez pas, vous ne pouvez pas être tenu responsable. Mais si vous recevez un rapport faisant état d’un crime spécifique commis et que vous en profitez sciemment, vous êtes censé restituer ces fonds.

MISE À JOUR (15 septembre 2023, 16h45 UTC) : ajoute les données Nansen dans le cinquième paragraphe.